インターネットイニシアティブ(IIJ)は5月30日、「改正電気通信事業法」においてクッキー利用の規制などを含む「外部送信規律」に関する記者説明会を開催した。ビジネスリスクコンサルティング本部の石村卓也氏が詳細を解説した。
2023年6月16日に施行される改正電気通信事業法では、利用者が安心して電気通信サービスを使えるよう、透明性を高めるための新ルールとして、外部送信規律(いわゆるクッキー規制)が設けられる。対象事業者がウェブサイトやアプリで、クッキーなどの利用者に関する情報を外部に送信させる場合、一定の情報提供が義務付けられる。なお、対象事業者は「登録・届出を要する電気通信事業者に限られないことに注意」が必要だ。
クッキーに関しては、「利用者が知らないところで勝手にユーザーの行動履歴などを記録し、外部に送信する」といった批判を受け、現在ではあらかじめユーザーにクッキーの利用の可否を判断させるプロセスが挟まれるのが一般的になってきている。しかし、クッキーで何が記録されているのかがよく分からなかったり、クッキーの利用を受け入れないとウェブサイトの利用に不便が生じたりする懸念から、半ば強制的にクッキー利用を了承させられている、と感じるユーザーも少なくないのではないだろうか。
インターネットイニシアティブ ビジネスリスクコンサルティング本部の石村卓也氏
今回の改正電気通信事業法による外部送信規律では、こうした状況をユーザー保護の観点から改善しようとする取り組みだと言えるだろう。なお、Googleはウェブブラウザー「Chrome」でサードパーティークッキーのサポートを段階的に廃止すると発表している。石村氏は、独占禁止法の観点から同社がサードパーティークッキーのサポートを廃止するのは実際問題として難しいのではないかとの見解を示しており、当面は今回の改正電気通信事業法のような形で、ユーザーに対する透明性確保の措置を講じつつ、クッキーの利用を継続していく流れになると見て良さそうだ。
規制の対象となる事業者は、他人の需要に応じて、ウェブサイトやアプリを通じて「4つの類型のオンラインサービスを提供する事業を営むもの」とされている。具体的には、(1)メール、ダイレクトメッセージ、ウェブ会議など、他人の通信を媒介するサービス、(2)SNS、電子掲示板、動画共有サービス、モールなどの「場」を提供するコンテンツ配信サービス、(3)オンライン検索サービス、(4)ニュース、気象情報、動画、地図など、不特定の利用者の求めに応じて情報を送信し、情報の閲覧に供するオンライン提供サービス――となる。
外部送信規律の対象事業者
分かりにくいのは4番目のタイプで、漠然と考えるとウェブサイトで何らかの情報を発信するものは全て含まれるように思えるが、実際には「他人の需要に応じて」という点がポイントとのこと。石村氏は「情報提供自体を事業の内容とするのではなく、事業遂行の手段としているに過ぎない場合は、客観的には情報提供をしていても『他人の需要に応じて』いるわけではないので、クッキー規制は適用されない」と説明する。
例えば、自社で販売する製品に関する情報を自社サイトで提供している場合などは適用対象外と考えてよいという。一方、自社サイトで自社製品を販売しているような場合は同様だが、同サイト上に法人格の異なるグループ企業の製品なども扱っていると、「複数の出品者の商品を購入できる『場』を提供するサービスに該当」すると考えられるため、適用対象になるとしている。
次に、規制の対象となるのは、ウェブサイトやアプリでクッキーなどの利用者に関する情報を外部に送信する行為で、利用者情報は個人情報に限られないという。一方、適用除外とされる利用者情報もあり、こちらは「サービス提供に真に必要な情報」(コンテンツ再生に必要な端末構成情報など)、「利用者の入力内容を端末ディスプレイに再表示するために必要な情報」(買い物カゴのアイテムなど)、「利用者が入力した認証情報を端末ディスプレイに再表示するために必要な情報」(ユーザーID再表示など)、「不正検知などに必要な情報」「ロードバランシングなどに必要な情報」「オンラインサービス提供者が端末に割り当てたIDなどを当該オンラインサービス提供者のサーバーを送信先として送信させる場合」となっている。
外部送信規律の対象となる情報
最後に、規制対象となった事業者に課せられる義務としては「4類型」に該当するオンラインサービスを提供するウェブサイトやアプリで、クッキーなどの利用者に関する情報を外部に送信させる場合、「通知または公表」「事前同意取得」「オプトアウト機会提供」のいずれかの措置をとること」となっている。いずれの場合でも、利用者に対する情報提供の内容としては「送信される利用者情報の内容」(端末ID、閲覧履歴、行動履歴など)、「送信先の氏名・名称」(サービス名称併記が望ましい)、「利用目的」(具体的に)が指定されている。
外部送信規律の対象事業者に課せられる義務
外部送信規律の対象事業者が提供すべき情報
石村氏は、「多くの企業は、負担が比較的少ない『公表』を選択すると考えられる」としている。今回の規律に違反しても罰金などが課されることはなく、総務大臣による業務改善措置命令や違反者の氏名/名称などの公表にとどまるが、逆に一般向けサービスは違反が明らかになった際に消費者離れなどが深刻となる可能性があることから、消費者保護の姿勢を積極的にアピールする機会と捉えて「事前同取得」や「オプトアウト機会提供」を選択する企業もあるという。
なお、同社が改正電気通信事業法の外部送信規律の対象と考えられる国内の新聞社、テレビ局、主要ネットニュースサイトなど計230サイトを独自に調査した結果、5月20日の時点で77.4%が未対応の状況だったという。さらに、「『公表』により対応済みと思われるが内容に不備があり法要件を満たしていないと思われるサイト」も12.6%あった。
石村氏は、「ガイドライン解説や総務省のウェブサイトで示されている外部送信規律の趣旨に立ち戻り、実装を見直す必要がある」と指摘している。
IIJの独自調査による、施行前の段階における主要サイトの対応状況
同社が「内容に不備がある」と判断したウェブサイトの判断根拠
